Tipos de identidade e conta para aplicativos de inquilino único e multilocatário

Este artigo explica como você, como desenvolvedor, pode escolher se seu aplicativo permite apenas usuários do locatário do Microsoft Entra, qualquer locatário do Microsoft Entra ou usuários com contas pessoais da Microsoft. Você pode configurar seu aplicativo para ser locatário único ou multilocatário durante o registro do aplicativo no Microsoft Entra. Certifique-se do princípio Zero Trust de acesso com privilégios mínimos para que seu aplicativo solicite apenas as permissões necessárias.

A plataforma de identidade da Microsoft fornece suporte para tipos de identidade específicos:

• Contas corporativas ou de estudante quando a entidade tem uma conta em uma ID do Microsoft Entra
• Contas pessoais da Microsoft (MSA) para qualquer pessoa que tenha conta no Outlook.com, Hotmail, Live, Skype, Xbox, etc.
• Identidades externas no Microsoft Entra ID para parceiros (usuários fora da sua organização)
• Microsoft Entra Business to Customer (B2C) que permite criar uma solução que permite que seus clientes tragam seus outros provedores de identidade. Os aplicativos que usam o Azure AD B2C ou são inscritos na Proteção contra Fraude do Microsoft Dynamics 365 com o Azure Ative Directory B2C podem avaliar atividades potencialmente fraudulentas após tentativas de criar novas contas ou entrar no ecossistema do cliente.

Uma parte necessária do registro do aplicativo no Microsoft Entra ID é sua seleção de tipos de conta suportados. Enquanto os profissionais de TI em funções de administrador decidem quem pode consentir com aplicativos em seu locatário, você, como desenvolvedor, especifica quem pode usar seu aplicativo com base no tipo de conta. Quando um locatário não permite que você registre seu aplicativo no Microsoft Entra ID, os administradores fornecem uma maneira de comunicar esses detalhes a eles por meio de outro mecanismo.

Você escolhe entre as seguintes opções de tipo de conta suportadas ao registrar seu aplicativo.

• Accounts in this organizational directory only (O365 only - Single tenant)
• Accounts in any organizational directory (Any Azure AD directory - Multitenant)
• Accounts in any organizational directory (Any Azure AD directory - Multitenant) and personal Microsoft accounts (e.g. Skype, Xbox)
• Personal Microsoft accounts only

Contas apenas neste diretório organizacional - locatário único

Ao selecionar Contas somente neste diretório organizacional (somente O365 - Locatário único), você permite apenas usuários e convidados do locatário onde o desenvolvedor registrou seu aplicativo. Essa opção é a mais comum para aplicativos de linha de negócios (LOB).

Contas apenas em qualquer diretório organizacional - multilocatário

Ao selecionar Contas em qualquer diretório organizacional (Qualquer diretório do Microsoft Entra - Multilocatário), você permite que qualquer usuário de qualquer diretório do Microsoft Entra entre em seu aplicativo multilocatário. Se quiser permitir apenas usuários de locatários específicos, filtre esses usuários em seu código verificando se a declaração de tid no id_token está na sua lista de locatários permitidos. Seu aplicativo pode usar o ponto de extremidade da organização ou o ponto de extremidade comum para entrar usuários no locatário doméstico do usuário. Para dar suporte a usuários convidados que entram em seu aplicativo multilocatário, use o ponto de extremidade de locatário específico para o locatário em que o usuário é um convidado para entrar no usuário.

Contas em qualquer conta organizacional e contas pessoais da Microsoft

Ao selecionar Contas em qualquer conta organizacional e contas pessoais da Microsoft (Qualquer diretório do Microsoft Entra - Multilocatário) e contas pessoais da Microsoft (por exemplo, Skype, Xbox), você permite que um usuário entre em seu aplicativo com sua identidade nativa de qualquer locatário ou conta de consumidor do Microsoft Entra. A mesma filtragem de locatário e uso de ponto de extremidade se aplicam a esses aplicativos como aos aplicativos multilocatário, conforme descrito anteriormente.

Apenas contas pessoais da Microsoft

Ao selecionar Somente contas pessoais da Microsoft, você permite que apenas usuários com contas de consumidor usem seu aplicativo.

Aplicações voltadas para o cliente

Quando você cria uma solução na plataforma de identidade da Microsoft que alcança seus clientes, geralmente não deseja usar seu diretório corporativo. Em vez disso, você deseja que os clientes estejam em um diretório separado para que eles não possam acessar nenhum dos recursos corporativos da sua empresa. Para atender a essa necessidade, a Microsoft oferece o Microsoft Entra Business to Customer (B2C).

O Azure AD B2C fornece identidade de empresa para cliente como um serviço. Você pode permitir que os usuários tenham um nome de usuário e senha apenas para seu aplicativo. O B2C suporta clientes com identidades sociais para reduzir senhas. Você pode dar suporte a clientes corporativos federando seu diretório do Azure AD B2C à ID do Microsoft Entra de seus clientes ou a qualquer provedor de identidade que ofereça suporte a SAML (Security Assertion Markup Language) ao OpenID Connect. Ao contrário de um aplicativo multilocatário, seu aplicativo não usa o diretório corporativo do cliente onde ele está protegendo seus ativos corporativos. Seus clientes podem acessar seu serviço ou recurso sem conceder ao seu aplicativo acesso aos recursos corporativos.

Não depende apenas do desenvolvedor

Embora você defina no registro do aplicativo quem pode entrar no aplicativo, a palavra final vem do usuário individual ou dos administradores do locatário doméstico do usuário. Os administradores de locatários geralmente querem ter mais controle sobre um aplicativo do que apenas quem pode entrar. Por exemplo, eles podem querer aplicar uma política de Acesso Condicional ao aplicativo ou controlar qual grupo eles permitem usar o aplicativo. Para permitir que os administradores de locatários tenham esse controle, há um segundo objeto na plataforma de identidade da Microsoft: o aplicativo Enterprise. Os aplicativos corporativos também são conhecidos como Entidades de Serviço.

Aplicações com utilizadores noutros inquilinos ou outras contas de consumidor

Conforme mostrado no diagrama a seguir usando um exemplo de dois locatários (para as organizações fictícias, Adatum e Contoso), os tipos de conta com suporte incluem a opção Contas em qualquer diretório organizacional para um aplicativo multilocatário para que você possa permitir usuários do diretório organizacional. Em outras palavras, você permite que um usuário entre em seu aplicativo com sua identidade nativa de qualquer ID do Microsoft Entra. Uma entidade de serviço é criada automaticamente no locatário quando o primeiro usuário de um locatário se autentica no aplicativo.

O GIF animado mostra dois diagramas com uma transição de movimento entre o primeiro diagrama e o segundo diagrama. Título do primeiro diagrama: Entidade de serviço criada automaticamente no locatário quando o primeiro usuário de um locatário se autentica no aplicativo. Título do segundo diagrama: O administrador do locatário controla como o aplicativo funciona em seu locatário com o aplicativo Enterprise para esse aplicativo.

Há apenas um registro de aplicativo ou objeto de aplicativo. No entanto, há um aplicativo Enterprise, ou Service Principal (SP), em cada locatário que permite que os usuários entrem no aplicativo. O administrador do locatário pode controlar como o aplicativo funciona em seu locatário.

Considerações sobre aplicativos multilocatários

Os aplicativos multilocatários entram usuários do locatário doméstico do usuário quando o aplicativo usa o ponto de extremidade comum ou da organização. O aplicativo tem um registro de aplicativo, conforme mostrado no diagrama a seguir. Neste exemplo, o aplicativo é registrado no locatário Adatum. O Usuário A da Adatum e o Usuário B da Contoso podem entrar no aplicativo com a expectativa de que o Usuário A da Adatum acesse os dados da Adatum e que o Usuário B da Contoso acesse os dados da Contoso.

Título do diagrama: Aplicativo Multilocatário vs. Identidades Externas, também conhecido como B 2 B.

Como desenvolvedor, é sua responsabilidade manter as informações do locatário separadas. Por exemplo, se os dados da Contoso forem do Microsoft Graph, o Usuário B da Contoso verá apenas os dados do Microsoft Graph da Contoso. Não há possibilidade de o Usuário B da Contoso acessar dados do Microsoft Graph no locatário do Adatum porque o Microsoft 365 tem separação de dados verdadeira.

No diagrama acima, o Usuário B da Contoso pode entrar no aplicativo e acessar os dados da Contoso em seu aplicativo. Seu aplicativo pode usar os pontos de extremidade comuns (ou da organização) para que o usuário entre nativamente em seu locatário, não exigindo nenhum processo de convite. Um usuário pode executar e entrar em seu aplicativo e ele funciona depois que o usuário ou administrador do locatário concede consentimento.

Colaboração com utilizadores externos

Quando as empresas querem permitir que usuários que não são membros da empresa acessem dados da empresa, elas usam o recurso Microsoft Entra Business to Business (B2B). Conforme ilustrado no diagrama a seguir, as empresas podem convidar usuários para se tornarem usuários convidados em seu locatário. Depois que o usuário aceita o convite, ele pode acessar os dados que o locatário convidado protege. O usuário não cria uma credencial separada no locatário.

Título do diagrama: Aplicativo Multilocatário vs. Identidades Externas, também conhecido como B 2 B.

Os usuários convidados são autenticados entrando em seu locatário doméstico, conta pessoal da Microsoft ou outra conta de provedor de identidade (IDP). Os hóspedes também podem autenticar-se com um código de acesso único usando qualquer e-mail. Depois que os convidados se autenticam, a ID do Microsoft Entra do locatário convidado fornece um token para acessar os dados do locatário convidado.

Como desenvolvedor, tenha estas considerações em mente quando seu aplicativo oferecer suporte a usuários convidados:

• Você deve usar um ponto de extremidade específico do locatário ao entrar no usuário convidado. Você não pode usar os pontos de extremidade comuns, da organização ou do consumidor.
• A identidade do usuário convidado é diferente da identidade do usuário em seu locatário doméstico ou outro IDP. A oid reivindicação no token para um usuário convidado é diferente da do mesmo indivíduo oid em seu inquilino doméstico.

Próximos passos

• Como e por que os aplicativos são adicionados ao Microsoft Entra ID explica como os objetos de aplicativo descrevem um aplicativo para o Microsoft Entra ID.
• As práticas recomendadas de segurança para propriedades de aplicativos no Microsoft Entra ID abrangem propriedades como URI de redirecionamento, tokens de acesso, certificados e segredos, URI de ID de aplicativo e propriedade do aplicativo.
• A criação de aplicativos com uma abordagem Zero Trust para identidade fornece uma visão geral das permissões e das práticas recomendadas de acesso.
• Adquirir autorização para acessar recursos ajuda você a entender a melhor forma de garantir o Zero Trust ao adquirir permissões de acesso a recursos para seu aplicativo.
• Desenvolver a estratégia de permissões delegadas ajuda você a implementar a melhor abordagem para gerenciar permissões em seu aplicativo e desenvolver usando os princípios Zero Trust.
• Desenvolver a estratégia de permissões de aplicativo ajuda você a decidir sobre a abordagem de permissões de aplicativo para o gerenciamento de credenciais.